Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- GNU gzip (voir bulletin de l'éditeur).
- gzip pour Debian (voir bulletin de l'éditeur) ;
- gzip pour Mandriva (voir bulletin de l'éditeur) ;
- gzip pour Red Hat (voir bulletin de l'éditeur) ;
- gzip pour Ubuntu (voir bulletin de l'éditeur) ;
Résumé
Deux vulnérabilités dans gzip permettent l'exécution de code arbitraire à distance.
Description
- Une vulnérabilité dans la décompression des blocs de données Huffman permet l'exécution de code arbitraire à distance ;
- une vulnérabilité liée à un débordement d'entier lors de la décompression de données compressées via l'algorithme Lempel-Ziv-Welch (LZW) permet l'exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-1974-1 du 20 janvier 2010 : http://www.debian.org/security/2010/dsa-1974
- Bulletin de sécurité Mandriva MDVSA-2010:019 du 20 janvier 2010 : http://www.mandriva.com/archives/security/advisories?name=MDVSA-2010:019
- Bulletin de sécurité Mandriva MDVSA-2010:020 du 20 janvier 2010 : http://www.mandriva.com/archives/security/advisories?name=MDVSA-2010:020
- Bulletin de sécurité RedHat RHSA-2010:0061 du 20 janvier 2010 : http://rhn.redhat.com/errata/RHSA-2010-0061.html
- Bulletin de sécurité Ubuntu USN-889-1 du 20 janvier 2010 : http://www.ubuntulinux.org/usn/usn-889-1
- Information de sécurité GNU : 3 http://savannah.gnu.org/forum/forum.php?forum_id=615
- Référence CVE CVE-2009-2624 https://www.cve.org/CVERecord?id=CVE-2009-2624
- Référence CVE CVE-2010-0001 https://www.cve.org/CVERecord?id=CVE-2010-0001
